355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 2)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 2 (всего у книги 91 страниц)

чить концепции и приобрести определенные н а в ы к и п р о щ е всего в п р о ц е с с е

выполнения практических заданий и отвечая на э к з а м е н а ц и о н н ы е в о п р о с ы .

Причем отдельные концепции и рекомендации и з л о ж е н ы т о л ь к о в п р а к т и ч е с -

ких упражнениях или упоминаются в контексте э к з а м е н а ц и о н н ы х в о п р о с о в ,

то есть в основной материал занятия они не включены. В н и м а т е л ь н о ч и т а й т е

теоретический материал и выполняйте практические задания. Д а ж е е с л и вы не

располагаете средой для выполнения упражнений, пытайтесь з а п о м н и т ь о п и с ы -

ваемые операции – рано илн поздно вам придется реализовать все на п р а к т и к е .

Требования к оборудованию

Практические упражнения – в а ж н е й ш и й к о м п о н е н т д а н н о г о р у к о в о д с т в а .

Они позволяют непосредственно применять приобретенные з н а н и я и н а в ы к и .

Для выполнения большинства упражнений необходим л и ш ь о д и н к о м п ь ю т е р ,

отконфигурнрованный как контроллер домена contoso.com, но в н е к о т о р ы х

случаях требуются дополнительные машины, в ы п о л н я ю щ и е р о л ь в т о р о г о к о н -

троллера в домене, контроллера еще одного домена в том же лесу, к о н т р о л л е р а

домена в еще одном лесу либо сервера, реализующего другие р о л и .

В главах с описанием AD DS (главы 1 – 1 3 ) т р е б у е т с я о д н о в р е м е н н о з а -

пускать не менее трех машин, а в главах с о п и с а н и е м д р у г и х р о л е й A c t i v e

Directory для обеспечения полной функциональности т е х н о л о г и й н е о б х о д и м о

задействовать до семи машин.

В практических упражнениях вместо ф и з и ч е с к и х к о м п ь ю т е р о в с т р о г о ре-

комендуется использовать виртуальные машины. Благодаря этому з н а ч и т е л ь н о

экономится время и отпадает необходимость в к о н ф и г у р а ц и и ф и з и ч е с к и х к о м -

пьютеров. Для виртуализации можно использовать Virtual PC 2007 и л и V i r t u a l

Server версии ие ниже 2005 R2 (бесплатно загружается по адресу http://www.

microsoft.com/downloads). Вам также подойдут такие средства в и р т у а л и з а ц и и ,

как VMware Workstation и VMware Server, которые можно з а г р у з и т ь по адресу

http://www.vmware.com. Просмотрите в документации выбранного п р о г р а м м н о г о

введение X X I

о б е с п е ч е н и я д л я в и р т у а л и з а ц и и и н ф о р м а ц и ю о создании виртуальных машин

W i n d o w s S e r v e r 2008.

В т а к и х н е б о л ь ш и х средах, как домен contoso.com, м а ш и н а Windows Ser-

v e r 2 0 0 8 б у д е т н о р м а л ь н о ф у н к ц и о н и р о в а т ь с 512 Мбайт памяти. При исполь-

з о в а н и и в и р т у а л ь н ы х м а ш и н выделяйте для каждой из них не менее 512 Мбайт

о п е р а т и в н о й п а м я т и . На ф и з и ч е с к о м компьютере, управляющем виртуальными

м а ш и н а м и , р е к о м е н д у е т с я установить достаточный объем памяти для операци-

о н н о й с и с т е м ы и в с е х о д н о в р е м е н н о запускаемых виртуальных машин. В слу-

чае в о з н и к н о в е н и я п р о б л е м с п р о и з в о д и т е л ь н о с т ь ю при запуске множества

в и р т у а л ь н ы х м а ш и н н а о д н о м ф и з и ч е с к о м хосте рассмотрите в о з м о ж н о с т ь

з а п у с к а в и р т у а л ь н ы х м а ш и н на р а з л и ч н ы х ф и з и ч е с к и х хостах. Убедитесь, что

все в и р т у а л ь н ы е м а ш и н ы могут с в я з ы в а т ь с я друг с другом по сети. Строго

р е к о м е н д у е т с я п о л н о с т ь ю о т к л ю ч и т ь среду от производственной сети.

А в т о р ы с о в е т у ю т с о х р а н я т ь все в и р т у а л ь н ы е машины, пока данное руко-

в о д с т в о не б у д е т п о л н о с т ь ю прочитано. После з а в е р ш е н и я работы над каждой

г л а в о й с о з д а в а й т е р е з е р в н ы е к о п и и или снимки используемых в ней виртуаль-

н ы х м а ш и н , ч т о б ы п р и н е о б х о д и м о с т и их м о ж н о было п р и м е н я т ь в последу-

ю щ и х у п р а ж н е н и я х .

Требования к программному обеспечению

Д л я в ы п о л н е н и я п р а к т и ч е с к и х з а д а н и й настоящего руководства необходима

к о п и я W i n d o w s S e r v e r 2008. Р я д у п р а ж н е н и й т р е б у ю т у с т а н о в к и W i n d o w s

S e r v e r 2 0 0 3 , а н е к о т о р ы е о п ц и о н а л ь н ы е у п р а ж н е н и я – W i n d o w s Vista.

О ц е н о ч н ы е в е р с и и W i n d o w s Server 2008 м о ж н о загрузить по адресу http://

www.microsoft.com/downloads. Д л я в ы п о л н е н и я у п р а ж н е н и й установите выпуск

S t a n d a r d и л и E n t e r p r i s e и используйте 32– либо 64-разрядную версию в зависи-

м о с т и от в ы б р а н н о й п л а т ф о р м ы оборудования и л и виртуализации. Инструкции

по у с т а н о в к е п е р в о г о к о н т р о л л е р а в д о м е н е contoso.com, к о т о р ы й вы будете

и с п о л ь з о в а т ь на п р о т я ж е н и и всего времени работы с руководством, содержатся

в г л а в е 1. В з а н я т и я х , где т р е б у ю т с я д о п о л н и т е л ь н ы е компьютеры, описана

к о н ф и г у р а ц и я э т и х к ом пьют е р о в.

Использование компакт-диска

П р и л а г а е м ы й к к н и г е к о м п а к т – д и с к содержит следующие материалы.

• П р о б н ы е э к з а м е н ы Э л е к т р о н н ы е п р о б н ы е экзамены, составленные на

о с н о в е в о п р о с о в , которые содержатся в подразделах «Закрепление материа-

л а » , п о м о г у т в а м з а к р е п и т ь и систематизировать свои з н а н и я по настройке

W i n d o w s S e r v e r 2008. Н а с к о л ь к о хорошо усвоена тема, м о ж н о проверить,

о т в е ч а я на в о п р о с ы л и б о по определенным главам, л и б о по всему сертифи-

к а ц и о н н о м у э к з а м е н у 7 0 – 6 4 0 . П р о б н ы й экзамен настраивается в режиме

о б ы ч н о г о э к з а м е н а и л и в р е ж и м е обучения – в последнем случае имеется

в о з м о ж н о с т ь п р о с м а т р и в а т ь правильные ответы и объяснения.

• Э л е к т р о н н а я книга Э л е к т р о н н а я версия этой книги ( е В о о к ) дается на

т о т с л у ч а й , е с л и вам не захочется носить с собой печатный вариант. О н а

с о з д а н а в P D F – ф о р м а т е (Portable Document Format – формат переносимого

XXII Введение

документа), следовательно, просматривать ее м о ж н о с п о м о щ ь ю п р о г р а м м

Adobe Acrobat и Adobe Reader.

• Примеры глав На компакт-диске вы найдете главы из д р у г и х к н и г из-

дательства Microsoft Press, п о с в я щ е н н ы х W i n d o w s S e r v e r 2 0 0 8 ( т а к ж е

в формате PDF).

Установка заданий пробного экзамена

Вам необходимо установить с компакт-диска на жесткий д и с к задания, к о т о р ы е

следует выполнить для подготовки к сдаче пробного экзамена.

1. Вставьте компактдиск в дисковод и примите у с л о в и я л и ц е н з и о н н о г о со-

глашения. На экран монитора будет выведено м е н ю к о м п а к т – д и с к а .

ПРИМЕЧАНИЕ Что делать, вели меню диска не отображается

Если условия лицензионного соглашения на экране не отобразились или если не

появилось меню компакт-диска, возможно, на вашем компьютере отключена функ-

ция автозапуска. Указания относительно альтернативного способа ее установки вы

найдете на компакт-диске в файле Readme.txt.

2. Щелкните элемент Practice Tests и следуйте в ы в о д и м ы м на э к р а н е у к а з а -

ниям.

ПРИМЕЧАНИЕ Занятия и практические тесты

Если вы хотите попытаться ответить на какие-либо вопросы из подраздела «Закрепле-

ние материала», сопровождающего каждое занятие, выберите Lesson r e v i e w ( 7 0 – 6 4 0 )

TS: Configuring Windows Server 2008 Active Directory. Для того чтобы ответить

на любые из 200 вопросов, аналогичных вопросам сертификационного экзамена

70-640, выберите Practice test(70-640) TS: Configuring Windows Server 2008 Ac-

tive Directory.

Закрепление материала

Чтобы закрепить пройденный материал, откройте д и а л о г о в о е о к н о C u s t o m

Mode и настройте процедуру тестирования. Вы можете щ е л к н у т ь ОК и п р и н я т ь

параметры по умолчанию или же определить количество вопросов, р е ж и м рабо'–

ты программы, а также указать, какие экзаменационные т е м ы д о л ж н ы з а т р а г и -

вать эти вопросы и нужно ли фиксировать время, затрачиваемое на п о д г о т о в к у

ответов. При повторном тестировании вы можете о т в е т и т ь на все в о п р о с ы

либо лишь на те, на которые не смогли дать п р а в и л ь н ы й ответ в п е р в ы й р а з .

• Для того чтобы начать опрос, щелкните кнопку О К .

• Отвечая на вопросы теста, переходите от одного вопроса к д р у г о м у с п о -

мощью кнопок Next, Previous и Go То.

« Если вы хотите выяснить, правильно ли ответили на вопрос, а т а к ж е п о -

лучить объяснения, щелкните Explanation.

• Чтобы узнать результаты тестирования, щелкните Score Test. Вы у в и д и т е

краткий перечень выбранных экзаменационных т е м и о б щ е е КОЛИЧбСТВО

Введение XXIII

(в п р о ц е н т а х ) п р а в и л ь н ы х ответов на тест, а также количество правильных

о т в е т о в по к о н к р е т н о й теме. У вас имеется возможность распечатать копию

в ы п о л н е н н о г о теста, просмотреть свои ответы и л и пройти тест повторно.

Пробный э к з а м е н

Вам н е о б х о д и м о в ы б р а т ь р е ж и м п р о х о ж д е н и я пробного экзамена: Certifica-

tion M o d e ( с е р т и ф и к а ц и о н н ы й ) , S t u d y M o d e ( о б у ч а ю щ и й ) и л и Custom Mode

( н а с т р а и в а е м ы й ) .

• C e r t i f i c a t i o n M o d e Д а н н ы й р е ж и м максимально соответствует условиям

п р о в е д е н и я с е р т и ф и к а ц и о н н о г о экзамена. Тест с о д е р ж и т определенное

ч и с л о в о п р о с о в , в р е м я его в ы п о л н е н и я фиксируется.

• S t u d y M o d e П р и п р о х о ж д е н и и теста в этом режиме в р е м я не фиксирует-

ся, ч т о п о з в о л я е т п р о с м а т р и в а т ь правильные ответы и о б ъ я с н е н и я после

к а ж д о г о о т в е т а н а вопрос.

• C u s t o m M o d e Р е ж и м , к о т о р ы й предоставляет вам возможность настроить

т е с т п о с в о е м у у с м о т р е н и ю .

Во всех р е ж и м а х и с п о л ь з у е т с я фактически один и тот же пользовательский

и н т е р ф е й с , с т о й л и ш ь р а з н и ц е й , что отменяются некоторые возможности.

П р о с м а т р и в а я с в о й ответ на к о н к р е т н ы й вопрос, вы увидите раздел Refe-

r e n c e s с у к а з а н и е м того, где м о ж н о найти и н ф о р м а ц и ю по затронутой теме.

П о с л е т о г о к а к вы щ е л к н е т е Test Results, чтобы узнать результаты теста, пе-

р е й д и т е на в к л а д к у L e a r n i n g P l a n и просмотрите список ссылок по каждому

вопросу.

Удаление ПО для пробного экзамена

П р и н е о б х о д и м о с т и у д а л и т ь программное обеспечение, используемое для сдачи

п р о б н о г о э к з а м е н а , на п а н е л и у п р а в л е н и я щелкните значок Установка и удале-

н и е ( A d d Or R e m o v e P r o g r a m s ) , если работаете в Windows ХР, либо Программы

и к о м п о н е н т ы ( P r o g r a m s And F e a t u r e s ) – при работе в Windows Vista.

Программа сертификации специалистов Microsoft

С е р т и ф и к а ц и я M i c r o s o f t обеспечивает н а и л у ч ш и й метод проверки того, на-

с к о л ь к о х о р о ш о с п е ц и а л и с т л и б о члены одной команды знают продукты и тех-

н о л о г и и M i c r o s o f t . П о р я д о к сдачи экзаменов и механизм выдачи соответству-

ю щ и х с е р т и ф и к а т о в р а з р а б о т а н ы с целью подтверждения п р о ф е с с и о н а л ь н ы х

н а в ы к о в в о б л а с т и п р о е к т и р о в а н и я и разработки либо реализации и поддержки

р е ш е н и й с и с п о л ь з о в а н и е м н о в е й ш и х методик. Специалисты, и м е ю щ и е сер-

т и ф и к а т ы M i c r o s o f t , з а с л у ж е н н о считаются экспертами в области в ы с о к и х

т е х н о л о г и й . Н а л и ч и е с е р т и ф и к а т о в предоставляет множество преимуществ

к а к о т д е л ь н ы м л и ц а м , т а к и с л у ж а щ и м и организациям.

К СВЕДЕНИЮ Все сертификаты Microsoft

Полный список сертификатов Microsoft можно найти по адресу www.microsoft.com/

learning/тер/default.asp

XXIV Введение

Техническая поддержка

Свои комментарии, вопросы и предложения относительно с о д е р ж и м о г о к н и г и

и прилагаемого к ней компакт-диска отправляйте в и з д а т е л ь с т в о M i c r o s o f t

Press. – '

« Адрес электронной почты:

[email protected]

« Почтовый адрес:

Microsoft Press

Attn: MCITS Self-Paced Training Kit (Exam 7 0 – 6 4 0 ) : C o n f i g u r i n g W i n d o w s

Server 2008 Active Directory, Editor

One Microsoft Way

Redmond, WA 98052-6399

Дополнительную информацию по рассматриваемым в и з д а н и и т е м а м , а т а к -

же ответы на часто задаваемые вопросы об установке и и с п о л ь з о в а н и и р а з л и ч -

ных продуктов можно найтн на веб-сайте Microsoft Press Technical S u p p o r t по

адресу http://www.microsoft.com/learning/support/books. Е с л и вы з а х о т и т е п о д -

ключиться к базе знаний Microsoft, с тем чтобы непосредственно в в о д и т ь с в о и

запросы, откройте страницу http://support.microsoft.com/search. И н ф о р м а ц и я

о программном обеспечении Microsoft представлена на с а й т е http://support.

microsoft.com.

Благодарности

Нельсон, Даниэль, Тони н я хотели бы выразить о г р о м н у ю б л а г о д а р н о с т ь со-

трудникам издательства Microsoft Press за р а с п р о с т р а н е н и е у ч е б н ы х м а т е р и -

алов по сертификации Windows Server 2008. Н а ч н у с Л а у р ы С о к е р м а н и К е н а

Джонса: вы собрали нас вместе в 2007 году и создали д о в о л ь н о э ф ф е к т и в н у ю

структуру, которая подготовила, как нам кажется, в е л и к о л е п н ы й р е с у р с д л я

IT-специалистов. Спасибо вам за то, что дали нам в о з м о ж н о с т ь н а п и с а т ь к н и г у

о любимой технологии Windows! Выражаем п р и з н а т е л ь н о с т ь М о р и н З и м м е р -

ман – за ее неустанное внимание к деталям процесса, за п о д д е р ж к у и т е р п е н и е ,

а также за то, что сумела заставить нас довести дело до конца. Б о б Хоган, В а м

огромное спасибо за ценные идеи и советы! Спасибо К е р и н Ф о р с и т за о ф о р м -

ление издания! Выражаем благодарность Бобу Д и н за ф о р м у л и р о в к у в о п р о с о в

практических упражнений. Крис Нортон, без Вас мы не с м о г л и бы н а п и с а т ь

ни одной страницы этого руководства. Спасибо всем!

И, конечно же, мы благодарим свои семьи, друзей, муз, к о т о р ы е п о д д е р ж и -

вали нас во время работы над книгой.

Г Л А В А 1

Установка

Занятие 1. Установка доменных служб Active Directory 2

Занятие 2. Доменные службы Active Directory и ядро сервера 23

К о м п о н е н т Active Directory Domain Services (AD DS) и связанные с ним

с л у ж б ы ф о р м и р у ю т основу корпоративных сетей Microsoft Windows. Они

хранят данные о подлинности пользователей, компьютеров и служб, а следо-

вательно, их можно использовать для проверки подлинности пользователя или

компьютера. К р о м е того, указанные средства предоставляют пользователям

и к о м п ь ю т е р а м механизм получения доступа к ресурсам предприятия. В на-

чале этой г л а в ы мы рассмотрим службу Active Directory системы Windows

Server 2008, расскажем об установке роли Доменные службы Active Directory

(Active D i r e c t o r y Domain Services) и о создании контроллера домена в но-

вом лесу Active Directory. В системе Windows Server 2008 усовершенствованы

многие к о н ц е п ц и и и компоненты Active Directory, с предыдущими версиями

которых вы, возможно, уже знакомы.

Д а н н а я глава посвящена созданию нового леса Active Directory с одним

доменом на одном контроллере домена. В ее практических упражнениях пред-

ставлен процесс создания домена contoso.com, который будет использоваться и

в последующих практических упражнениях этого руководства. Позднее (в гла-

вах 8, 10 и 12) мы рассмотрим другие сценарии, включая леса с множеством

доменов, обновление существующих лесов до Windows Server 2008 и допол-

нительные о п ц и и установки. Наконец, в главах 14-17 будут описаны такие

службы Active Directory, как службы облегченного доступа к каталогам (Acti-

ve D i r e c t o r y Lightweight Directory Services), сертификации Active Directory

(Active Directory Certificate Services) с инфраструктурой публичных ключей,

у п р а в л е н и я п р а в а м и Active Directory (Active Directory Rights Management

Service), федерации Active Directory (Active Directory Federated Services).

Темы экзамена:

• Н а с т р о й к а инфраструктуры Active Directory.

• Н а с т р о й к а леса либо домена.

2 Установка

Прежде всего

Для выполнения упражнений данной главы вам понадобятся с л е д у ю щ и е ап-

паратные и программные средства.

• Два компьютера с установленной системой W i n d o w s S e r v e r 2 0 0 8 . О н и

должны соответствовать м и н и м а л ь н ы м т р е б о в а н и я м с и с т е м ы W i n d o w s

Server 2008, у к а з а н н ы м по адресу http://technet.microsoft.com/en-us/

windowsserver/2008/bb414778.aspx. Вам потребуется не м е н е е 5 1 2 М б а й т

памяти, 10 Гбайт свободного пространства на жестком д и с к е и п р о ц е с с о р

х86 с минимальной тактовой частотой 1 ГГц и л и процессор х64 с м и н и м а л ь -

ной тактовой частотой 1,4 ГГц. М о ж н о т а к ж е и с п о л ь з о в а т ь в и р т у а л ь н ы е

машины, соответствующие тем же требованиям.

« Оценочная версия системы Windows Server 2008. На в р е м я н а п и с а н и я д а н -

ной книга оценочные версии были доступны на д о м а ш н е й с т р а н и ц е э т о й

системы по адресу http://www.microsoft.com/windowsseiver2008.

История из жизни

Дэн Холме

Контроллеры доменов проверяют подлинность и контролируют управление

доступом, что очень важно для целостности и безопасности предприятия Win-

dows. Поэтому в большинстве организаций контроллер домена выполняет лишь

функции серверов файлов и печати.

В предыдущих версиях Windows при повышении ранга рядового сервера до

контроллера домена другие службы оставались доступными независимо от их

использования. Для этих дополнительных ненужных служб надо было вносить

исправления в систему безопасности и обновлять ее, не говоря уже о дополни-

тельных угрозах безопасности для контроллера домена.

В системе Windows Server 2008 эти проблемы устранены благодаря архитек-

туре на основе ролей. При ней сервер начинает свой жизненный цикл с весьма

ограниченной установки системы Windows, в которую потом добавляются роли,

а также связанные с ними службы и компоненты. Посредством установки ядра

сервера (Server Core) системы Windows Server 2008 производится минимальная

установка системы Windows, в которой нет даже графического пользовательского

интерфейса (GUI) и есть только командная строка. В этой главе вы ознакомитесь

с этими важными характеристиками контроллеров доменов системы Windows

Server 2008. Такие изменения архитектуры и набора компонентов помогут вам

повысить безопасность, стабильность и управляемость инфраструктуры про-

верки подлинности и управления доступом.

Занятие 1. Установка доменных служб Active Directory

Доменные службы Active Directory (Active Directory D o m a i n Services, AD D S )

обеспечивают идентификацию и доступ ( I d e n t i t y and Access, I D A ) д л я к о р п о -

ративных сетей. На этом занятии мы рассмотрим AD DS и д р у г и е р о л и A c t i v e

Directory, поддерживаемые в системе Windows Server 2008. Мы т а к ж е о б с у д и м

Занятие 1

Установка доменных служб Active Directory " ) 3

Д и с п е т ч е р сервера (Server Manager), с помощью которого можно конфигуриро-

вать р о л и сервера, а т а к ж е усовершенствованный Мастер установки доменных

с л у ж б Active D i r e c t o r y (Active Directory Domain Services Installation Wizard).

З д е с ь т а к ж е о п и с а н ы к л ю ч е в ы е к о н ц е п ц и и I D A и Active Directory.

Изучив материал этого занятия, вы сможете:

У Описать роль идентификации и доступа в корпоративной сети.

У Понимать связь между службами Active Directory.

У Конфигурировать контроллер домена с ролыо Доменные службы Active Di-

rectory ( A D DS) посредством интерфейса системы Windows.

Продолжительность занятия – около 60 мин.

Структура Active Directory, идентификация и доступ

К а к у ж е г о в о р и л о с ь в н а ч а л е э т о й главы, структура Active Directory обеспечи-

вает и д е н т и ф и к а ц и ю и доступ I D A д л я корпоративных сетей Windows. Решение

I D A н е о б х о д и м о д л я п о д д е р ж к и безопасности к о р п о р а т и в н ы х ресурсов, в том

ч и с л е ф а й л о в , э л е к т р о н н о й почты, п р и л о ж е н и й и баз данных. Инфраструктура

I D A д о л ж н а в ы п о л н я т ь с л е д у ю щ и е задачи.

• Х р а н е н и е и н ф о р м а ц и и о пользователях, г р у п п а х , к о м п ь ю т е р а х и других

о б ъ е к т а х и д е н т и ф и к а ц и и О б ъ е к т и д е н т и ф и к а ц и и ( i d e n t i t y ) – это пред-

с т а в л е н и е с у щ н о с т и , в ы п о л н я ю щ е й к а к и е – т о д е й с т в и я в к о р п о р а т и в н о й

сети. П р е д п о л о ж и м , что пользователь открывает документы в общей папке

н а с е р в е р е . О н и з а щ и щ е н ы р а з р е ш е н и я м и списка контроля доступа (Access

C o n t r o l List, A C L ) . Д о с т у п о м к д о к у м е н т а м у п р а в л я е т подсистема безопас-

н о с т и с е р в е р а , к о т о р ы й , с р а в н и в а я объект и д е н т и ф и к а ц и и пользователя

с о б ъ е к т а м и в с п и с к е ACL, п р е д о с т а в л я е т или з а п р е щ а е т пользователю

д о с т у п . П о с к о л ь к у к о м п ь ю т е р ы , группы, с л у ж б ы и другие объекты тоже

в ы п о л н я ю т о п р е д е л е н н ы е д е й с т в и я в сети, они д о л ж н ы быть представлены

о б ъ е к т а м и и д е н т и ф и к а ц и и . Среди и н ф о р м а ц и и об объекте идентификации,

к о т о р а я х р а н и т с я , есть свойства, у н и к а л ь н ы м образом идентифицирующие

о б ъ е к т , н а п р и м е р и м я п о л ь з о в а т е л я л и б о и д е н т и ф и к а т о р безопасности

( S e c u r i t y Identifier, S I D ) , а также пароль объекта идентификации. Таким об-

р а з о м , хранилище объектов идентификации я в л я е т с я одним из компонентов

и н ф р а с т р у к т у р ы I D A . В х р а н и л и щ е данных Active Directory, которое также

н а з ы в а е т с я к а т а л о г о м , х р а н я т с я объекты идентификации. С а м и м хранили-

щ е м у п р а в л я е т к о н т р о л л е р д о м е н а – сервер, и г р а ю щ и й роль AD DS.

• П р о в е р к а подлинности о б ъ е к т а и д е н т и ф и к а ц и и Сервер не предоставляет

п о л ь з о в а т е л ю д о с т у п а к документу, пока не будет подтверждена подлин-

н о с т ь о б ъ е к т а и д е н т и ф и к а ц и и , представленного в запросе доступа. Что-

бы п о д т в е р д и т ь п о д л и н н о с т ь объекта, пользователь указывает секретную

и н ф о р м а ц и ю , и з в е с т н у ю т о л ь к о ему и и н фр а с т р у к ту р е IDA. Эти данные

с р а в н и в а ю т с я с и н ф о р м а ц и е й в х р а н и л и щ е объектов и д е н т и ф и к а ц и и во

в р е м я п р о ц е с с а , к о т о р ы й называется проверкой подлинности.

I •| g Установка Глава 1

Проверка подлинности Kerberos в домен е Active Directory

В домене Active Directory для проверки подлинности объектов идентификации

используется протокол Kerberos. Когда пользователь или компьютер входит

в сеть домена, этот протокол проверяет подлинность указанных реквизитов и

выдает пакет данных, который называется билетом на получение разрешения

TGT (Ticket Granting Ticket). Перед подключением пользователя к серверу для

запроса документа на контроллер домена пересылается запрос Kerberos вместе

с билетом TGT, который идентифицирует пользователя, прошедшего проверку

подлинности. Контроллер домена выдает пользователю еще один пакет данных,

который называется билетом доступа к службе. Этот билет идентифициру-

ет прошедшего проверку подлинности пользователя на сервере. Пользователь

предоставляет билет на доступ службе на сервере, который принимает его как

подтверждение прохождения проверки подлинности.

В результате выполнения таких действий протоколу Kerberos требуется лишь

один сетевой вход. После начального входа пользователя либо компьютера и по-

лучения им билета TGT пользователь проходит проверку подлинности для всего

домена и может получать идентификационные билеты на доступ к службам.

Всеми этими операциями с билетами прозрачно для пользователя управляют

клиенты и службы Kerberos, встроенные в систему Windows.

• Управление доступом Инфраструктура I D A о б е с п е ч и в а е т з а щ и т у к о н -

фиденциальных данных, н а п р и м е р и н ф о р м а ц и и в д о к у м е н т е . Д о с т у п

к конфиденциальным данным должен к о н т р о л и р о в а т ь с я в с о о т в е т с т в и и

с политиками предприятия. Списки у п р а в л е н и я д о с т у п о м A C L д о к у м е н т а

отражают политику безопасности, состоящую из р а з р е ш е н и й , в к о т о р ы х

для отдельных объектов идентификации у к а з а н ы у р о в н и д о с т у п а . В д а н -

ном примере функции контроля доступа в и н ф р а с т р у к т у р е I D A в ы п о л н я е т

подсистема безопасности на сервере.

• Обеспечение данных аудита Предприятию может потребоваться о т с л е ж и -

вать изменения и действия, выполняемые в и н ф р а с т р у к т у р е I D A , п о э т о м у

решение IDA должно обеспечить механизм у п р а в л е н и я а у д и т о м .

Службы AD DS представляют не единственный к о м п о н е н т I D A , п о д д е р ж и -

ваемый в системе Windows Server 2008. В версии W i n d o w s Server 2 0 0 8 к о р п о р а -

ция Microsoft объединила множество ранее разделенных к о м п о н е н т о в в и н т е г -

рированную платформу IDA. Сама структура Active Di r e c t o r y т е п е р ь в к л ю ч а е т

пять технологий, назначение которых очевидно из их н а з в а н и й (рис. 1 – 1 ) . Э т и

технологии полностью реализуют и д е н т и ф и к а ц и ю и д о с т у п I D A .

• Доменные службы Active D i r ec t o r y (Active D i r e c t o r y D o m a i n S e r v i c e s ) —

Идентификация Описанные ранее доменные с л у ж б ы A D D S п р е д о с т а в -

ляют центральный репозиторий д л я у п р а в л е н и я и д е н т и ф и к а ц и е й в о р -

ганизации. Они проверяют подлинность и а в т о р и з а ц и ю в сети, а т а к ж е

поддерживают управление объектами с п о м о щ ь ю г р у п п о в о й п о л и т и к и .

Кроме того, службы AD DS обеспечивают у п р а в л е н и е и н ф о р м а ц и е й и об-

щим доступом к службам, помогая п о л ь з о в а т е л я м н а х о д и т ь в к а т а л о г е

различные компоненты: файловые серверы, п р и н т е р ы , г р у п п ы и других

Занятие 1

Установка доменных служб Active Directory " ) 5

п о л ь з о в а т е л е й . По этой причине AD DS часто называют службой каталогов

с е т е в о й о п е р а ц и о н н о й системы. С л у ж б ы A D D S представляют основную

т е х н о л о г и ю Active Directory, поэтому они д о л ж н ы быть развернуты в каж-

д о й сети с о п е р а ц и о н н о й системой Windows Server 2008. Доменные службы

A c t i v e D i r e c t o r y о п и с а н ы в главах 1 – 1 3 .

Службы облегченного

доступа к каталогам

Active Directory

(AD LDS)

Службы управления

правами Active Directory

(AD RMS)

Легенда

Интеграция технологий Active Directory

Потенциальные связи

Рис. 1-1. Интеграция пяти технологий Active Directory

В к а ч е с т в е р у к о в о д с т в а по п р о е к т и р о в а н и ю Active Directory можно бес-

п л а т н о з а г р у з и т ь г л а в у 4 «Designing t h e Active Directory» книги «Windows

S e r v e r 2003, Best Practices for Enterprise Deployments» по адресу http://www.

reso-net.com/Documents/007222343X_Ch03.pdf.

К СВЕДЕНИЮ Проектирование AD DS

Обновленную информацию о проектировании доменных служб Active Directory

можно найти в книге RuestD., RuestN. Windows Server 2008: The Complete Refer-

ence: McGraw-Hill Osborne.

• С л у ж б ы о б л е г ч е н н о г о д о с т у п а к к а т а л о г а м (Active D i r e c t o r y Lightweight

D i r e c t o r y S e r v i c e s ) – П р и л о ж е н и я Р о л ь AD LDS является, по сути, не-

з а в и с и м о й в е р с и е й с л у ж б ы Active Directory. Ее называют также режимом

п р и л о ж е н и й A c t i v e D i r e c t o r y (Active Directory Application Mode, A D A M ) .

I •| g Установка Глава 1

Она обеспечивает поддержку приложений каталогов. К о м п о н е н т AD L D S

фактически является поднабором AD DS, поскольку оба к о м п о н е н т а осно-

ваны на одном коде ядра. Каталог AD LDS хранит и р е п л и ц и р у е т т о л ь к о

данные приложений. Его часто используют п р и л о ж е н и я , к о т о р ы м н е о б х о -

димо хранилище каталогов, но не требуется р е п л и ц и р о в а т ь и н ф о р м а ц и ю

на все контроллеры доменов. Кроме того, службы AD L D S д а ю т в о з м о ж -

ность развернуть настраиваемую схему д л я п о д д е р ж к и п р и л о ж е н и я б е з

модификации схемы AD DS. Роль AD LDS облегченная. О н а п о д д е р ж и в а е т

множество хранилищ данных в одной системе, чтобы к а ж д о е п р и л о ж е н и е

можно было развернуть с собственным каталогом, схемой, н а з н а ч е н н ы м

облегченным протоколом доступа к каталогам L D A P ( L i g h t w e i g h t D i r e c t o r y

Access Protocol), портами SSL и журналом с о б ы т и й п р и л о ж е н и я . Р о л ь AD

LDS не зависит от служб AD DS, поэтому ее можно и с п о л ь з о в а т ь в а в т о н о м -

ной среде либо рабочей группе. Однако в д о м е н н ы х средах эта р о л ь м о ж е т

использоваться службами AD DS для проверки п р и н ц и п а л о в б е з о п а с н о с т и

системы Windows (пользователей, групп и к о м п ь ю т е р о в ) . К р о м е того, р о л ь

AD LDS можно применять для реализации служб п р о в е р к и п о д л и н н о с т и в

открытых сетях (например, в экстрасети). При и с п о л ь з о в а н и и д а н н о й р о л и

в такой ситуации угроза безопасности меньше, чем п р и и с п о л ь з о в а н и и AD

DS. Службы AD LDS описаны в главе 14.

• Службы сертификации Active D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e S e r -

vices) – Доверие Организации могут использовать с л у ж б ы с е р т и ф и к а ц и и

AD CS в инфраструктуре открытых ключей P K I ( P u b l i c Key I n f r a s t r u c t u r e ) ,


    Ваша оценка произведения:

Популярные книги за неделю